工業控制網絡系統安全防護的思考

李小強，陳滌新

（1.北京朋創天地科技有限公司，北京 100089；2.北京市自動化物流裝備工程技術研究中心，北京 100007）

工業控制網絡系統安全防護的思考

李小強1，陳滌新2

（1.北京朋創天地科技有限公司，北京 100089；2.北京市自動化物流裝備工程技術研究中心，北京 100007）

工業控制網絡系統的安全問題日益突出，目前所提出的各種解決方案，都存在一個共性問題，就是不能滿足工業控制網絡的可用性要求。從網絡安全性、可靠性、可用性方面進行分析，提出采用終端集中管控技術和安全白名單技術的防御性安全策略來解決工業控制網絡的安全問題的方法。

工業控制網絡；系統信息安全白名單技術虛擬化技術

0 引言

工業控制系統是關系到國家基礎設施運行的核心大腦，是國家的關鍵信息。隨著網絡信息技術的發展、隨著信息化和工業化的深度融合和以太網技術的廣泛應用，工業控制系統在飛速發展的同時，系統安全風險日益突出，信息安全問題成為了該領域關注的重點之一。

1 工業控制系統網絡結構

隨著網絡信息技術的發展，從最初的分立元器件組成一個個控制系統，發展到計算機集中控制系統（CCS），再到分散控制系統（DCS），再到由如今的現場總線控制系統（FCS），工業控制系統現在已發展到了由現場控制層、監控管理層和數據采集層的三層網絡架構。工業控制系統（ICS）已經從獨立分散模式邁向互聯互通的網絡控制模式，其結構如圖1所示。

在圖1中，現場控制層中的控制設備如可編程控制器（PLC）、遠程終端單元（RTU）、智能電子設備（IED）等設備之間的通信以及與上位系統設備的通信所采用的協議是OPC、Modbus、Profinet、Profibus等；這些協議都是基于TCP/IP協議標準；而監控管理層及以上的通信協議就是TCP/IP協議標準的，兩層網絡之間所遵循的協議標準是一致的。工業控制網絡系統已經不再是一個“孤島”而是和企業網甚至互聯網實現了互聯互通。這也就意味著，在傳統辦公網絡中所出現的各種網絡安全問題一樣會在工業控制網絡系統出現，傳統的工業控制系統在現在的網絡架構中不再是安全的，可靠的。因此如何保障工業控制網絡系統的安全是現在所面臨的首要解決問題。

圖1 工業控制網絡系統（ICS）三層網絡結構示意圖

2 傳統網絡的防護方法

如何解決工業控制網絡系統的信息安全問題呢？是不是將傳統辦公網絡安全的解決辦法移植過來就可行呢？傳統辦公網絡的信息安全解決方式有以下三種：

1）針對服務器等主機設備，主要采用的是在服務器安裝部署各種安全防護軟件，同時部署安全訪問策略來限制訪問權限；

2）針對網絡系統，首先是基于不同網絡設備的安全要求將他們部署在不同的安全域中；其次在網絡中部署IDS/IPS，防火墻，堡壘機等網絡安全設備；

3）針對終端設備就是在終端上安裝防殺毒軟件、終端安全管理軟件等。

3 工業網絡對信息要求的特殊性及結構特點

3.1 工控網絡和辦公網絡的差別

辦公網絡系統對于信息傳輸的要求是“安全性”、“完整性”、“可用性”，“安全性”是第一位，信息的傳輸首先要保證安全，而對于信息的可用性要求不高；而工業控制網絡系統對于信息傳輸的要求是“可用性”、“完整性”、“安全性”，“可用性”是首位的。在ICS系統中，信息傳輸的及時性要求非常高，這是因為在ICS系統中所傳輸的信息都是現場各種實時信號和實時指令，這些數據需要及時的傳送，否則就會導致設備執行出現偏差，從而導致設備故障、損害，甚至人身傷害，直接導致企業出現經濟損失等等。從可用性要求來看，在ICS網絡系統中，若部署各種安全設備，必將改變網絡結構，這將導致數據輸送的延遲甚至丟失；若部署安全軟件，則可能引起對數據的誤判而導致數據延遲或丟失。所以ICS系統的網絡安全必須區別于傳統辦公信息網絡的安全部署方案，以確保數據的可用性作為首要要求。

3.2 工控網絡系統的結構特點

首先分析下企業工控網絡系統結構和所出現的安全問題。在控制網絡中，現場設備層的控制設備主要是PLC、IPC以及HMI等設備，在現場監控層和數據采集層除了各種服務器外，作為人機交互的就是工程師站、操作員站、數據管理終端以及配套的外設。這些終端設備就是控制網絡的安全邊界，主要體現在終端設備和服務器及現場控制設備在邏輯上是直通的，數據可以直接交換。其次，這些終端設備都有各種接口，尤其是USB口，在方便移動存儲設備的接入的同時也為各種惡意代碼的引入創造了條件。據了解，在相關機構的現場檢查中，就曾發現HMI上的USB口有智能手機接入，查原因是現場工人為給手機充電將手機接到HMI的USB口上。其他終端設備上也有違規接入外設的情況，而且非常普遍。我們知道發生在伊朗核電站的“震網病毒”其實就是因為一個移動存儲設備的違規接入而導致的。其三，無線設備在工業網絡中應用也是越來越普及，很多無線設備是直接與核心網絡連接在一起的，而現在很多智能設備也是帶無線Wi-Fi功能，如果沒有對這些Wi-Fi連接進行有效管控，外部設備未經許可非法連接也是危害控制網絡安全的主要因素；第四，隨著PLC技術的發展，現在很多中大型PLC在性能上相當于一臺計算機系統。針對PLC的維護和故障診斷，很多維護人員都是直接將筆記本連接到PLC上，這些筆記本同時也是公網進行連接，這也導致控制網絡隨時處在惡意代碼和黑客的威脅之中。第五，工業通信協議的“私有性”導致傳統信息網絡安全策略根本無法起到任何安全防護作用。增加任何工控網絡安全設備如工業防火墻、網閘等安全設備以及部署查殺毒軟件等這些只會增加網絡傳輸延時、指令或數據包的誤審計而被隔離或者丟包，影響整個控制網絡系統的正常安全運行和可靠性，根本就不能保證控制網絡系統“可用性”要求。

鑒于上述種種對工控網絡的安全威脅，我們可以認識到任何改變工控網絡的結構，增加安全設備或者部署安全軟件的網絡安全策略都是會改變工控網絡的可用性，影響工控網絡的正常、穩定、安全、可靠的運行，這也是這些工業控制網絡安全解決方案不被用戶所接受的主要原因。

4 基于終端虛擬化技術和安全白名單技術的防御性策略安全解決方案

根據對現有的ICS系統的安全威脅的分析，并結合ICS系統對于網絡“可用性”是第一要求，可以發現所有用戶操作終端及各種接口是控制網絡系統安全最大短板，這點和在傳統信息網絡的用戶操作終端是局域網的安全邊界相類似，那么從安全邊界的積極防御性安全隔離策略出發，提高網絡邊界的安全防御技術措施，并結合有效的安全管理制度，就可以做好工業控制網絡的安全，保護控制網絡不受各種惡意代碼和黑客的危害，保證控制網絡的“可用性”和“安全性”。基于這一思想，提出采用“圍城”的方式，將所有的工控網絡設備包圍在一個堅固的“城堡”內，將“城墻”做的堅固，足以防止任何外來威脅入侵。對于有必要需要進出的地方，像“城池”一樣筑“城門”作為和外界溝通的唯一渠道。因“城門”是“城堡”內外交流的通道，因此必須部署重兵嚴防，做好“門禁”工作。所有進出“城堡”的人員，必須在城門處接受身份的查驗，只有查驗通過并獲取許可的人員才能進出。所有獲準進入城池內人員的行為必須受到嚴格的限制和規范，并且和其身份是匹配的。通過這種措施保證城池內所有人員的身份是合法的，行為是許可的，進而才能保證城池內的安全可控。

1）防御性安全隔離策略的網絡結構示意圖

防御性安全隔離策略就是將工業控制網絡與安全性較差的外部環境進行安全隔離。從技術手段上講筑好“城堡”，強化網絡安全邊界，具體技術手段就是將作為網絡安全邊界的人機交互界面，如用戶操作終端，HMI等實現安全集中管控，并縮小網絡安全邊界，保障網絡邊界安全可控。同時在業務環境中部署應用程序白名單的安全策略，規范業務環境工作流程，業務數據的安全保護和確保業務環境的安全可信。通過將操作終端集中管控來實現控制網絡系統的安全隔離，并在集中的用戶操作環境中部署白名單技術，來規范業務環境中的各種應用，保護內網數據安全。具體的結構示意圖如圖2所示。

2）操作終端安全集中管控技術安全策略

圖2 采用防御性安全隔離策略的控制網絡結構示意圖

圖2 為采用了操作終端安全集中管控技術安全策略。該安全策略是基于開放的KVM終端虛擬化技術和擁有自有知識產品的虛擬化管理技術，將所有操作終端設備，如工程師站、操作員站以及HMI等控制網絡中的各種終端設備通過終端虛擬化技術在安全虛擬桌面服務器中構建出對應的虛擬終端，并通過安全云桌面網關將操作終端物理機和虛擬機進行隔離。原先的操作終端和虛擬終端設備之間只有鼠標、鍵盤代碼和顯示器上顯示的圖形像素的交換。這些虛擬桌面可以按照功能和安全要求部署在不同的安全域中，并且通過模本-克隆機制安裝不同的操作桌面供使用。通過終端虛擬化技術，實現了所有終端設備的集中管控，而實際的用戶操作終端設備整體被“搬移”到控制網絡外部，使這些終端設備不再和控制網的核心網絡部分直連。圖2中的應用防火墻和安全云桌面網關是防御性安全隔離策略的核心設備，安全云桌面網關首先將用戶操作終端和控制網絡進行隔離，操作人員要訪問控制網絡中的設備或者數據庫系統，首先要通過網關對于其身份的審核，只有審計通過后，網關基于用戶的身份和訪問權限指定相應的虛擬桌面供用戶使用；當用戶退出后，網關自動斷開虛擬桌面和用戶操作終端的鏈接。其次，網關還有“流控”功能，就是控制內外網的數據流，即允許或是禁止數據從操作終端流向內網，或者內網流向操作終端，或者是雙向控制。“流控”的安全策略也是基于用戶身份來做的。第三，安全云桌面網關還具有對于操作終端接口的安全管理。因實際業務的需要部分操作終端需要連接打印機、掃描槍等外設，因此這些接口必須要開放使用，安全云桌面網關可通過映射功能將這些接口映射到虛擬機上，就可以確保虛擬機和外設的鏈接，滿足實際使用要求。除此之外的終端設備上的其它未用的接口和虛擬機上的接口就沒有映射，這些接口所連接的外設就和虛擬機沒有任何聯系，不可以拷貝復制任何內網的數據。通過安全云桌面網關的安全策略控制，可有防止未經許可的訪問，以及各種外設的非法連接。同時，還可以有效的保護內網數據，比如各種配方，核心生產數據等關乎企業核心利益的數據，防止這些數據的泄露給企業造成損失。

應用防火墻是配合安全云桌面網關使用的。虛擬桌面的模式有普通桌面，專有桌面兩種，對于普通桌面，網關是隨機分配給用戶的。如果要基于用戶身份限制用戶的對服務器或者數據庫的訪問就基本不可能，為了實現基于用戶身份的訪問限制，應用防火墻將虛擬桌面和用戶身份綁定來實現這種訪問限制。

3）白名單策略

白名單策略是基于密碼技術的安全機制，是對所有需要運行業務環境中的應用軟件通過密碼技術采集相應的“指紋”形成白名單。業務環境中的任何軟件的安裝和執行都必須在已有的白名單中才可以運行。安裝軟件到工業控制網絡前必須要確保該軟件是安全可信的，網絡管理員在白名單工具的輔助下安裝這些軟件，軟件在安裝過程中白名單工具就對軟件中的可執行程序采集“指紋”并加入到白名單列表中。所有未經許可的軟件是不可能安裝的。操作人員在調用程序的時候，白名單工具對所調用的程序再次采集“指紋”并和白名單列表中的對應的“指紋”進行比較，只有審核的可執行程序才能運行，審核未通過的程序被禁止執行。也就是說只有在白名單中的程序才可運行，而那些不在白名單中的程序，無論其是否安全可信都不能運行，就意味著對于病毒、木馬或各種惡意代碼首先就無法安裝，更談不上運行了。通過白名單安全策略，就規范了業務環境中可以使用的程序，有效的防范的各種已知和未知的惡意代碼。同時，白名單策略本身也具有可靠的防范惡意代碼的攻擊和修改。

白名單安全策略不僅部署在虛擬桌面服務器和虛擬桌面中都安裝部署白名單策略，用于規范業務環境，保證業務環境的安全可信。而且，白名單策略也部署在安全云桌面網關和應用防火墻中，用于保護這些設備自身的安全。通過這種部署，確保了“城墻”和“城門”的安全。

通過將控制網中的各種操作終端設備與控制網隔離的這種“圍城”策略，并結合白名單安全策略，從圖2可以看到，控制網絡的本身的結構并沒有發生任何改變，也沒有為了加強安全增加任何工業防火墻，網閘等安全設備，因而各層之間的信息傳輸不會產生延遲。同時，在控制層和數據采集層的服務器上也不需要安裝部署防殺毒軟件等安全軟件，也就不會造成信息傳輸過程中因為安全策略的誤解析而丟失。再結合安全管理制度，禁止PLC的維護管理人員將未經許可的終端直接接入PLC進行各種操作。從這幾個層面就相當于在控制網絡系統周邊筑起了一道堅實的“城墻”和安全可靠的“城門”。

這樣就將控制網絡系統整體包圍在起來了，在不改變不破壞控制網絡系統結構的情況下，保證了控制網絡系統的可用性，安全性。

5 結束語

上述在工業控制網絡中采用操作終端安全管控技術和白名單技術的安全策略，滿足了工業控制網絡的“可用性”要求，無論是對新建控制網絡系統還是既有的控制網絡系統，都不失為最好的安全方案。首先本方案的安裝部署簡單，不需要在控制網絡系統中串接或者旁路任何網絡安全設備，也不需要安裝部署任何網絡安全軟件，對網絡系統尤其是既有的網絡系統基本沒有改動。其次，本方案對于控制網絡協議沒有任何技術兼容性要求，不會因為控制網絡協議的多樣性及私有性而導致安全策略的失效。第三，白名單的安全部署簡單易用，白名單安全工具不僅可以對網絡業務環境中的各種應用程序進行自動掃描并生成白名單，而且還可以協助安裝新應用，并在安裝過程中就自動加入到白名單中。另外，對于已在白名單中的程序的升級也可以通過白名單工具進行自動掃描并更新白名單。白名單策略是針對應用程序的可執行部分，對于非執行程序部分的升級等，不影響程序的正常使用。同時不用擔心在程序升級中因遺漏某些進程而導致程序升級不成功的情況發生。第四，對于終端設備的接口采用“流控”安全策略和接口映射的策略進行有效管控，既可以支持正常的外設使用要求，又有效的防止各種外設的非法接入對控制網絡造成的破壞。第五，對控制網絡數據的集中管控，防止數據的非法泄露，保護企業數據機密的同時又能確保數據的有效使用。第六，降低終端設備的維護工作難度，采用操作終端的安全管控策略，操作終端不再是控制網絡的安全邊界，對于操作終端功能和性能及安全性要求大幅降低，所有操作終端甚至可以采用瘦客戶機來代替傳統的PC機，開機就可以直接進入虛擬桌面，終端設備的故障不再需要安裝操作系統和各種應用程序客戶端，直接更換主機就可以正常工作，提高的工作效率、降低了設備故障維修難度、縮短了故障處理時間、降低了設備綜合投入成本。

本方案是通過終端虛擬化的方式將用戶操作終端集中化管控，并結合安全云桌面網關和基于密碼技術的白名單技術將工業控制網絡系統的進行安全管控，通過縮小的控制網絡的安全邊界，將控制網絡系統完全包圍起來，所有的數據通信通過安全云網關的管控，所有來自操作終端的的操作行為通過安全云網關和白名單安全策略的審計和控制，來確保控制網絡系統的安全。

通過本方案保證了控制網絡的可用性的同時，對于網絡系統內部的各種潛在威脅是不能有效檢測和管控，這是因為方案所針對的是網絡邊界的安全管控，不針對網絡內部設備和軟件的安全進行管控，方案在部署時是認可整個網絡系統是安全的，即使系統內部存在潛在危險，但只要這些潛在危險沒有被激活而造成系統出現故障影響到系統正常運行。其次，對于操作人員非法將操作終端直接連接到PLC的行為，只能通過安全管理制度來保障，因此存在因外設的非法接入給網絡系統帶來潛在危害的可能性。

總之，隨著工控網絡的不斷發展，信息安全的問題日益嚴峻，信息安全問題將一直與資源共享是一對矛盾的主體，相互促進發展。伴隨著技術的發展，必將迎來更多的解決方案。

[1] 石勇,劉巍偉,劉博.工業控制系統(ICS)的安全研究[J].網絡安全技術與應用,2008,(4):40-41.

[2] http://www.pengchuangworld.com/content_company.html.

[3] 彭勇,江常青,謝豐,戴忠華,熊琦,高洋.工業控制系統信息安全研究進展[J].清華大學學報（自然科學版）2012,52(10):1396-1408.

[4] 王孝良,崔保紅,李思其.關于工控系統的安全思考與建議.第27次全國計算機安全學術交流會,2012.08.

Thoughts on security protection of industrial control network system

LI Xiao-qiang1, CHEN Di-xin2

TP309.2

：A

1009-0134(2017)06-0140-04

2017-05-16

李小強（1975 -），男，湖北人，工程師，本科，主要從事工業控制網絡信息安全研究。